Che cosa è successo tra Banca Intesa e il Garante Privacy? E quali sono le conseguenze?
Allacciate le cinture! Il Garante per la protezione dei dati personali è venuto a conoscenza, attraverso la notifica di violazione dei dati personali del 17 luglio 2024, effettuata, in via definitiva ai sensi dell’art. 33 GDPR dalla Intesa Sanpaolo S.p.A., di una perdita di riservatezza di dati personali determinata dall’accesso non autorizzato da parte di un dipendente ai dati bancari di alcuni clienti.
Che cosa è successo a Banca Intesa?
In particolare, nella citata notifica di violazione di dati personali, Banca Intesa dichiarava che “Nel mese di febbraio 2024, la Funzione Privacy, incaricata dei controlli di secondo livello in merito a potenziali anomalie negli accessi ai dati bancari da parte dei dipendenti rilevate dai sistemi di alert adottati da questo Titolare, ha analizzato le interrogazioni eseguite dal dipendente interessato (assegnato alla Filiale Agribusiness di Barletta - Distaccamento di Bisceglie con l’incarico di Gestore Agribusiness) sulla movimentazione della carta di credito di una cliente fra il 1° ottobre 2023 e il 12 ottobre 2023. Il sistema di alert ha inoltre intercettato nello stesso periodo (ottobre - novembre 2023) altri potenziali accessi anomali su due ulteriori clienti…” e che “…Sulla base dell’esito di tutte le verifiche condotte si ritiene che il perimetro dei clienti effettivamente impattati dall’accertata anomala operatività effettuata dal dipendente coinvolto sia di 9 persone fisiche.”
Con riferimento alla notifica di una violazione di dati personali all’autorità di controllo prevista dall’art. 33 del Regolamento, Banca Intesa ha ritenuto di aver fornito tutte le informazioni necessarie con la notifica presentata il 17 luglio 2024, che infatti è stata indicata come “completa”.
E che cosa ha scoperto il Garante?
In un secondo momento, il 10 ottobre 2024, il Garante per la protezione dei dati personali ha appreso da notizie di stampa che un dipendente di Intesa Sanpaolo avrebbe avuto accesso, al di fuori della corretta operatività connessa allo svolgimento del proprio lavoro, a “…depositi di politici e militari, tra cui la sorella della premier, l'ex compagno e i ministri Crosetto e Santanchè. Ma anche Ignazio La Russa e il procuratore della Direzione nazionale antimafia, Giovanni Melillo…” (leggi qui l’articolo completo).
In particolare, gli accessi “…sarebbero stati quasi settemila, realizzati tra il 21 febbraio del 2022 e il 24 aprile del 2024, e avrebbero più in particolare riguardato gli oltre tremilacinquecento clienti portafogliati di 679 filiali di Intesa Sanpaolo, sparse in tutta Italia” (leggi qui l’Ansa) e sarebbero stati scoperti dalla Società, grazie alla denuncia di un correntista.
In merito all’accaduto, il Garante ha inviato una richiesta di informazioni a Intesa Sanpaolo (con nota prot. 118325 del 10 ottobre 2024) allo scopo di verificare se i fatti riportati dalle notizie di stampa fossero riconducibili all’evento di violazione di dati personali descritto nella notifica del 17 luglio 2024 e per conoscere l’effettiva portata degli eventi a suo tempo notificati in termini di assai minore portata in relazione al numero di interessati coinvolti.
La decisione del Garante
Alla luce dell’esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte si ravvisano la necessità e l’urgenza di ingiungere al Titolare del trattamento di comunicare individualmente la violazione dei dati personali a tutti gli interessati i cui dati personali e bancari siano stati oggetto di accesso non riconducibile con certezza all’ordinaria attività lavorativa del dipendente, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento, “senza ingiustificato ritardo” e, in ogni caso, entro venti giorni dalla data di ricezione del presente provvedimento, al fine di assicurare un’efficace tutela agli interessati, in particolare descrivendo la natura della violazione e le sue possibili conseguenze, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere maggiori informazioni nonché fornendo notizie sulle misure adottate per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.
Il Garante ritiene infatti, diversamente da quanto valutato dalla Banca con le sue note difensive, che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale).
In sintesi Intesa Sanpaolo Spa ha 20 giorni di tempo per informare i clienti coinvolti nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente della Banca.
